3 marca 2020 r., tuż przed lunchem w Waszyngtonie, Stephen Ryan wysłał komuś z Departamentu Skarbu USA podziękowanie z ciekawym szczegółem.

Dyrektor operacyjny i współzałożyciel firmy CipherTrace zajmującej się wykrywaniem kryptowalut, Ryan był jednym z 16 dyrektorów, którzy dzień wcześniej wzięli udział w szczycie branżowym wraz z ówczesnym sekretarzem skarbu Stevenem Mnuchinem. Wraz z podziękowaniem za spotkanie, Ryan załączył serię slajdów prezentujących strategię CipherTrace dotyczącą demistyfikowania portfeli kryptowalutowych. Wśród tych metod: „honeypots”.

Ten artykuł jest częścią serii Tygodnia Prywatności CoinDesk.

Notatka Ryana była częścią 250-stronicowej skarbnicy e-maili od Mnuchina uzyskanych przez CoinDesk na podstawie wniosku o Freedom of Information Act (FOIA). Części twojej slajdów bardzo przypominają publiczne materiały promocyjne CipherTrace. Od co najmniej 2018 r. są one również określane jako „honeypots” lub wierszyk „crypto moneypots”.

Co oznaczało CipherTrace przez te terminy? Społeczność cyberbezpieczeństwa używa wyrażenia „honeypot” do opisania wabika, który zbiera informacje o niczego niepodejrzewających napastnikach. Innymi słowy: pułapka.

Prezentacja CipherTrace Skarbiec, 3/3/20

CipherTrace, który gigant płatności Mastercard kupił zeszłej jesieni za nieujawnioną cenę, jest częścią branży chałupniczej, która kontroluje 14 miliardów euro rocznie na skrzyżowaniu kryptowaluty i przestępczości. Analizując miliony codziennych transakcji zarejestrowanych w łańcuchach bloków lub księgach publicznych, firmy takie jak Chainalysis, TRM Labs i Elliptic szukają sygnałów ostrzegawczych i nielegalnych ruchów, sygnalizując podejrzane adresy.

Firmy postrzegają swoje usługi jako niezbędne do normalizacji kryptowalut i zwalczania przestępczości. Krytycy krytykują te firmy śledzące jako sieciowych dilerów narkotyków, mimo że pracują głównie z informacjami publicznymi.

CipherTrace nie byłby pierwszą firmą w tej niszy, która zastawia pułapki w nadziei na przechwycenie niemożliwych do wyśledzenia informacji w łańcuchu. Chainalysis, wiodący dostawca śledzenia kryptowalut, od lat ma witrynę do wydobywania portfeli, która przechwytuje adresy IP odwiedzających i łączy ich z wyszukiwanymi adresami blockchain. Firma potwierdziła tę praktykę dopiero w październiku ubiegłego roku, miesiąc po opublikowaniu przez CoinDesk artykułu zwracającego na to uwagę.

Ponad pół tuzina weteranów branży kryptowalut powiedziało CoinDesk, że nie mają pojęcia, co CipherTrace rozumie przez „honeypots”. W oświadczeniu przekazanym CoinDesk, firma z Los Gatos w Kalifornii podała podstawową definicję bezpieczeństwa komputerowego, nie wyjaśniając, co to oznacza w kontekście analizy blockchain.

Zrzut ekranu strony CipherTrace, 27

„„Słoik na kryptowaluty” lub „honeypot” to termin dotyczący bezpieczeństwa, który odnosi się do mechanizmu, który tworzy wirtualną pułapkę, aby zwabić potencjalnych napastników” – powiedział CipherTrace, dodając, że dokumenty wspominające o takich taktykach są stare. . „CipherTrace nie używa już„ słoików z kryptowalutami ”- powiedział (chociaż strona internetowa firmy reklamuje zarówno pieniądze, jak i honeypoty od czwartku).

CoinDesk zapytał CipherTrace: „Czy Twoja firma zbiera dane adresu IP w celu powiązania ich z adresami portfela?”

Przedstawiciel CipherTrace odpowiedział: „Jako firma skupiająca się na prywatności, CipherTrace nie przypisuje danych IP osobom fizycznym”.

Nie odpowiedziałem na pytanie CoinDesk: Czy CipherTrace przypisuje adresy IP do portfeli? CoinDesk zapytał po raz drugi, czy CipherTrace mapuje adresy IP na adresy portfela. CipherTrace nie odpowiedział.

Taka nieufność „jest powszechnym problemem w przestrzeni prywatności, gdy mówimy o identyfikatorach sieciowych, takich jak adresy IP”, powiedział badacz cyberbezpieczeństwa Sean O'Brien. „Firmy próbują zdystansować się od tego, co tradycyjnie nazywają informacjami umożliwiającymi identyfikację osób, mówiąc, że adresy IP to coś innego. W rzeczywistości są niezwykle przydatne do identyfikacji domów, firm i osób.

Na przykład „jeśli chcesz zbadać transakcję bitcoin powiązaną z podejrzeniem cyberprzestępczości, adresy IP są dokładnie tym rodzajem informacji, których szukasz” – powiedział O'Brien. „Wczesne sprawy internetowe i organy ścigania nie bez powodu opierały się na adresach IP jako dowodach. I są tak samo przydatne do nękania i prześladowania ludzi, jak do ich ścigania.

podążając za pieniędzmi

Firmy śledzące od dawna są główną, choć niedocenianą siłą w instytucjonalnym marszu kryptowalut. Walcząc ze znużonym przekonaniem, że bitcoin to przede wszystkim przestępcze narzędzie finansowe, analizują dane, aby określić, której części jest naprawdę mało.

Chainalysis niedawno oszacowały, że 0,15% transakcji kryptograficznych w 2021 r. było nielegalnych, co stanowi zdecydowanie najniższy odsetek w historii. („Nielegalne” portfele zgromadziły w zeszłym roku rekordowe 14 miliardów euro, pozornie paradoksalna statystyka, którą Chainalysis przypisał błyskawicznemu wzrostowi kryptowalut.)

CipherTrace twierdzi, że jego misją jest „rozwój gospodarki kryptograficznej poprzez nadanie jej zaufania rządów, zabezpieczenie jej do masowej adopcji i ochronę instytucji finansowych przed ryzykiem prania pieniędzy w kryptowalutach”.

Zaczerpnięty z prezentacji udostępnionej Skarbowi, ten opis prawdopodobnie byłby wspólny dla wszystkich konkurencyjnych firm. Jest w centrum obaw krytyków. Maksymaliści prywatności uważają, że radykalnie przejrzysta, ale pseudonimowa natura Bitcoina powinna być niezależna od państwa i postrzegać pracę tych firm jako zdradę tego ideału.

„To rodzaj naruszenia prywatności użytkowników, w taki sam sposób, w jaki można narzekać na scentralizowane firmy zajmujące się analizą sieci, które gromadzą adresy IP i umieszczają pliki cookie na komputerach ludzi oraz śledzą je 'strona po stronie'” – powiedział John Light, długoletni kryptograf . pedagog, pisarz, podcaster i planista wydarzeń.

Analizy on-chain to w zasadzie wyścig po atrybucję.

W kręgach cyberbezpieczeństwa atrybucja polega na zidentyfikowaniu sprawców włamania. W kontekście kryptografii odnosi się to w szczególności do praktyki blockchainowych detektywów łączących pseudonimowe adresy portfela z możliwymi do zidentyfikowania aktorami. Ci aktorzy mogą być depozytariuszami lub licencjonowanymi giełdami krypto; osoby atakujące ransomware; rynki darknetu; lub osoby lub podmioty objęte sankcjami.

Na przykład: każdy, kto ma połączenie z Internetem, może zobaczyć, że na przykład portfel abc123 przesłał 0.5 BTC do zxy987; ta informacja sama w sobie jest całkiem bezużyteczna. Jednak baza danych śledzenia może udokumentować, że amerykańskie Biuro Kontroli Aktywów Zagranicznych zidentyfikowało zxy987 jako należące do objętego sankcjami afrykańskiego watażka. Lub może pokazać, że bitcoin abc123 został skradziony z giełdy.

Są to cenne informacje dla giełd, które chcą ograniczyć nielegalną działalność, dla użytkowników, którzy chcą utrzymać swoje monety w czystości, dla rządów, które chcą śledzić pieniądze. Wiąże się poprzez rygorystyczną atrybucję.

Ponieważ w grę wchodzą potencjalnie miliony dolarów kontraktów na ankiety, firmy te muszą pilnie pozyskać nowe dane dotyczące atrybucji. Na przykład CipherTrace podpisał 20 umów z agencjami federalnymi, o wartości do 3.5 mln euro, od 2018 r., z których ostatni to praca biegłych sądowych, jak wynika z publicznych rejestrów.

62FBZ33HQJHZNBD7I3V3HJ74CQ

W branży, która nagradza twórców dopracowanych i szczegółowych zestawów danych atrybucji oraz w dziedzinie, w której przestępcy są spragnieni informacji, aby pomóc im uniknąć uwagi, zachowanie tajemnicy atrybucji jest najważniejsze, powiedziało od dawna dwóch przestępców.

Jednak w swoim e-mailu do Ministerstwa Skarbu Ryan dał pewien wgląd w to, „jak odbywa się alokacja kryptowalut”. Honeypoty zostały wymienione jako jedna z „aktywnych” strategii w pokazie slajdów.

Analiza łańcucha: as atrybucji łańcucha bloków

Największy konkurent CipherTrace zaczął wykorzystywać własną nową technikę trzy lata temu.

Założona w 2014 roku i wyceniona na 4200 miliarda dolarów w czerwcu ubiegłego roku, Chainalysis jest wielkim kahuną branży śledzenia. Zgarnął dziesiątki milionów dolarów w federalnych kontraktach sprzedaży oprogramowania, które wizualizują działalność sieci. Chociaż każdy, kto ma połączenie z Internetem, może nawigować po publicznych rejestrach łańcucha bloków, potrzebowałby niewielkiej pomocy w zrozumieniu, co znajduje w króliczej dziurze.

Jednak prawdziwym punktem sprzedaży znacznika jest jego zestaw danych atrybucji, powiedziało trzech ekspertów branżowych. Żadna inna firma nie zgromadziła tak szczegółowych danych portfelowych jak Chainalysis – podają źródła.

Dzieje się tak po części dlatego, że żaden inny tracker nie ma tak ogromnego zasięgu komercyjnego. Chainalysis dostarcza oprogramowanie śledzące 500 „dostawcom usług wirtualnych aktywów” lub VASP, jak nazywają ich organy regulacyjne. Jest to relacja korzystna dla obu stron: firmy dysponują potężnymi narzędziami do zapewniania zgodności z kryptowalutami, a Chainalysis dodaje ich adresy portfeli do swojej globalnej bazy danych. Nie prosi jednak klientów o dane o swoich klientach.

„Nie możemy mówić w imieniu wszystkich innych dostawców. Inni dostawcy mogą poprosić o więcej informacji. Ale Chainalysis interesują tylko dane o transakcjach na poziomie usług” – wyjaśniła firma w poście na blogu z 2019 r. Innymi słowy, identyfikuje tylko firmy, o których portfelach kontrolnych wie, a nie ludzi.

Ale to nie była cała historia, a klienci Chainalysis i informacje z portfela publicznego nie były jedynymi źródłami informacji firmy.

W niedatowanym pokazie slajdów dla włoskiej policji, który wyciekł we wrześniu ubiegłego roku, zespół biznesowy Chainalysis opisał, w jaki sposób rozległa sieć węzłów portfeli Bitcoin i Electrum firmy przechwytuje cenne dane użytkowników, takie jak adresy IP podłączonego portfela. Pomogło to śledczym w poszukiwaniu znaczących tropów przestępczych, jak wynika z zgłoszenia.

Program

Pokaz slajdów rzucił również nowe światło na walletexplorer.com, popularny eksplorator bloków bitcoinowych prowadzony przez Chainalysis od 2015 roku. Według dokumentów, które CoinDesk zweryfikował jako autentyczne, witryna „wykrada” podejrzane adresy IP z użytkowników, łącząc ich Internet . odcisk palca na adres portfela. Ten zestaw danych dostarczył „istotnych wskazówek” dla organów ścigania.

„Nigdy nie było tajemnicą, że Chainalysis jest właścicielem i operatorem walletexplorer.com; od 2015 roku na dole strony głównej znajduje się stwierdzenie, że autor strony pracuje w Chainalysis jako analityk i programista”, a…

Udostępnij to